JDBな人生  専門的なことから日常的なことまで~ まぁ自由きままに書いていきます。
2017年08月 / 07月<< 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >>09月

アクセスランキング

[ジャンルランキング]
コンピュータ
476位
アクセスランキングを見る>>

[サブジャンルランキング]
プログラミング
63位
アクセスランキングを見る>>

架空請求の実態(mshta.exeとか)

なんだかんだで、父親が架空請求の被害に遭いかけたそうで・・・。(何も登録していないのに勝手にインストールされて表示される典型的なワンクリック詐欺的なやつです。何かウイルスとかが入ったんでしょうか?(フリーソフトを多用しているので紛れて入ってたって可能性もありますね))

載っている電話番号やメールアドレスって調べてみるとインターネット上の様々な掲示板などで質問&回答が見つかったので、結構色々な人が感染しているんですね。(どこも所詮ただの詐欺だから気にするなーみたいな感じで書かれていました)

一応、「Ad-Aware」ってのでスキャンしていますが、JDBとしてはどのような手口で仕掛けてきたのかなど色々と気になったので調べてしまいました。
(請求画面を表示させているデータだけサブのPC経由で移しました)


スキャン中って暇な時間で色々と弄りたくなっちゃうんですよ。



まず、画面なんですが、↓こんな感じです。
平和にネットサーフィンとかしていていきなりこういうのが出てきたら驚きますよね。

101227.png
画像の部分は白で塗りつぶしてあります。(このブログらしくないので)

※この画像と同じメッセージが出てきて困っている方は、フォルダオプションの設定を変更して隠しファイルを表示するよう設定してから、「C:\ProgramData\arush」に何か変なものが入っていないかチェックしてください。

隠しフォルダを表示させる方法
http://www.kuraemon.com/support/otasuke/kakushi_folder.htm


まず、この画面を表示させているプロセスの名前は「mshta.exe」で、これ自体はマイクロソフトが提供しているソフトっぽいです。

101227(2).png


で、この前頑張ってメモリの中を覗くってのを練習したので、それをやってみました。
101227(3).png

画面上に表示されているIDだとかで検索をかけてみると、案外簡単に引っかかりました。
そして、その周辺を色々と見てみると・・・
101227(4).png


元のファイルが見つかりました。

どうやら、この「A01Y58AX.hta」ってのが悪さをしているようです。
「C:\ProgramData」って結構パソコンの奥まで入っているような気が・・・。

開けるかなーみたいな感じでメモ帳で開いてみると、まあこのhtaファイルってのがHTMLの何かの一種らしく、普通にHTMLで記述されていました。

101227HTML.png
(架空請求の実行ファイルと言っても一応著作権はあるでしょうから問題があったら教えてください)
でも66KBってのはサイズとしては結構大きいですね。


101227HTML2.png
途中でだーっと長いのが出てきました。(デコードしてソースにある通りに複合化したら見れました)
それがこれです。↓(実際が縦に長いんですが)
101227JS1.png

ソースを見ていくと、
・支払期限的なものをカウントする部分
・Ajaxで何かをチェックする部分
・確認ボタンを押して画面がうつる(IEが表示される)部分&ウィンドウを閉じる
・一定間隔ごとにウィンドウを手前にもってくる部分
・ウィンドウを隠す部分
・ウィンドウを閉じる部分
・レジストリを弄ってスタートアップに登録する部分
・〃削除する部分
・おそらく画像がテキストの状態で保存されていてそれを画像に書き出す部分
に分かれているようです。


気になる部分はここ↓です。
objFso = new ActiveXObject("Scripting.FileSystemObject");
scr_obj = new ActiveXObject("WScript.Shell")

どうやらこれでファイル操作などができるようです。
(WSHだとかなんとかで・・・JDBはそこらへんはよく分からないんですよ。)

あと、「mk_rg()」って関数と「cl_rg()」って関数があって、これはmk(たぶんmake)でレジストリに登録、もうひとつはcl(たぶんclear)でレジストリから削除だと思うんですが、つまりこれは支払が済んだらレジストリから削除してもう表示されないようにしよーみたいなやつなんですよね。

ソース自体はとてもきれいに書かれていて、IE6と7の処理の分け方などもシンプルで良いと思うんですが・・・。
(コメントなども適宜入っていて、はっきり言ってJDBが書くより見やすいです・・・・・。)




大切なことは、やっぱり心当たりのない請求には応じないことだと思います。
ただ、このような鬱陶しい画面が出てくるとかの場合は、マルウェアのスキャンをするだとか、スタートアップやレジストリをチェックするだとか、場合によってはメモリの中を覗くとか、そういったことをする必要もあるのではないでしょうか。


コンピュータを使った犯罪ってのも日々進化しているんですね。

架空請求に引っかかるのはたぶんパソコンの初心者とかになると思いますけど、ともかく何かおかしいと思った場合は警察に相談してしたりしてください。(珍しく真面目な話です)


↓JDBの悪い癖
101227マリオ

JDBのパソコンでないと言っても、JDBの家のネットワークにウイルスというか怪しいファイルを侵入させた罪は重いので、(まあ勝手に入ってきただけで侵入には別のプログラムが関与しているでしょうが)改造してあげました。
詳細は以下からどうぞ。

スーパーマリオ25周年キャンペーン
http://www.nintendo.co.jp/mario25th/index.html


そろそろスキャン終わったかなー
 


 
   その他パソコン全般    TB(0)    CM(1)    EDIT    ページ↑

コメント投稿


 管理者だけに表示

コメント

[ jdbkunn ]
最後のマリオに吹いたw

いや、実際そういうことってあるんだね。
2010年12月27日(月) 09:45

トラックバック

この記事へのトラックバック:

プロフィール

JDB Luigi

Author:JDB Luigi
どこにでもいるようなありふれた人間・・・という訳でもなく、かと言って怪しい宗教を信仰する変人という訳でも無い。

基本的に掲載しているコード等は煮ていただいても焼いていただいても結構ですが、利用は自己責任にてお願いいします。
また、バグ・アドバイス等もしあればよろしくお願いします。

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。